EICAR(European Institute for Computer Anti-Virus Research)テストファイルは、 Kandji EDRが正しくデプロイされ、適切に動作していることを確認するために使用できます。EICARテストファイルは、どのMacでも安全にダウンロードできる悪意のないファイルです。Anti-Malware Test Fileの詳細については、 EICARのAnti-Malware Test File のWebページをご覧ください。
始める前に
デバイスレコードの[ステータス]タブ内にあるAvertライブラリアイテムの横に緑色の点が表示されていることを確認して、Avertライブラリアイテムがデバイスに正常に適用されていることを確認してください。
オプション 1: ターミナルを使用してEICAR テストファイルをダウンロードする
ターミナルを開いてください。
次のコマンドを実行して、EICAR テストファイルを EICAR からデスクトップに直接ダウンロードします。
curl "https://secure.eicar.org/eicar.com" -s -o ~/Desktop/eicar_test次のコマンドを実行して、テキストファイルの 1 行目に shebang (インタープリター不要) を挿入します。
sed -i '' '1s/^/#!\n/' ~/Desktop/eicar_test次のコマンドを実行して、ファイルを実行可能にします。
chmod +x ~/Desktop/eicar_test
ステップ #3 の shebang (#!) は、スクリプトの進行中のコマンドを解析するために使用するインタプリタを macOS に指示するために使用されます。このテストでは、インタプリタは必要ありません。
オプション 2: EICAR テストファイルを手動でビルドする
VSCodeやSublimeTextなどのテキストエディタを使用して、新しい空のテキストファイルを作成します。
次の 2 行をコピーしてテキストファイルに貼り付けます。
#!X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*テキストファイルをMacのデスクトップに保存し、ファイルにeicar_testと名前を付けます。
ターミナルを開き、次のコマンドを実行してファイルを実行可能にします。
chmod +x ~/Desktop/eicar_test
ステップ #2 の 68 文字の文字列は、EICAR のテスト ファイルにある文字列です。
期待される結果
Avertライブラリアイテムでマルウェアポスチャーモードが[検出(Detect)] モードに設定されている場合
Kandji EDR は EICAR テストファイルを検出し、左側のナビゲーションバーとデバイスレコードの「脅威」タブにある「脅威」モジュールに「隔離されていません」のステータスで報告します。
Avertライブラリアイテムのマルウェアポスチャーモードが [保護(Protect)] モードに設定されている場合
Kandji EDR は、実行可能ビットをファイルに追加してから数秒以内に EICAR テストファイルを検出して自動的に検疫し、左側のナビゲーション バーとデバイス レコードの [脅威] タブにある [脅威] モジュールに [検疫済み] のステータスで報告されます。